Embora percentuais significativos dos orçamentos corporativas (39%) sejam dedicados a programas de segurança de dados associados à conformidade (PCI-DSS, leis de privacidade de dados, normas contra violação de dados e políticas de segurança de dados), os segredos corporativos, contudo, correspondem a 62% do valor total do portfólio geral de informações, enquanto que os dados em custódia relativos à conformidade abrangem uma proporção muito menor, apenas 38%, de acordo com uma pesquisa global encomendada à Forrester Consulting pela RSA, a divisão de segurança da EMC, e a Microsoft.
O resultado, segundo a consultoria, sugere fortemente o peso excessivo dos investimentos em conformidade. "As empresas estão gastando dinheiro para proteger informações médicas, de clientes e de cartões de pagamento, como devem fazer, porém é necessário que mais ênfase seja dada à proteção de propriedade intelectual e de dados que possuem valor intrínseco para a organização", disse Sam Curry, CTO de marketing da RSA. "A perda de propriedade intelectual pode causar danos competitivos no longo prazo. Os recentes ataques extremamente sofisticados dirigidos à propriedade intelectual de grandes empresas multinacionais são exemplos deste tipo de perda."
O estudo constatou que as organizações se concentram nos incidentes de segurança de dados associados à perda acidental, mas que o roubo de informações por funcionários ou pessoas externas "confiáveis" sai muito mais caro. Em uma base por incidente, o roubo de informações sigilosas por funcionários é dez vezes mais oneroso do que a perda acidental: centenas de milhares de dólares versus dezenas de milhares.
"O acesso interno privilegiado é uma ameaça real e crescente, e o moderno ambiente corporativo de colaboração, com uma variedade de participantes externos, cria mais oportunidades de vazamento e roubo", declarou John Chirapurath, diretor sênior do Identity and Security Business Group da Microsoft. "Estes dados mostram que quanto mais a empresa tem a perder em termos de valor da informação, mais atividade criminal ela enfrentará."
Apesar da grande variação apresentada quanto a gastos com segurança, percepção do valor das informações e número de incidentes de segurança reportados, quase todas as empresas entrevistadas classificaram seus controles de segurança como igualmente eficazes.
"A maioria das empresas não sabe realmente se seus programas de segurança de dados funcionam ou não, a não ser pela contagem bruta de incidentes", relatou a Forrester Consulting. "A conformidade, em todas as suas formas, ajudou os chiefs information security officer (CISOs) a comprar mais equipamentos. Mas desviou a segurança de TI do seu foco tradicional: manter os segredos da empresa protegidos."
- Segurança
